Het Citrix-lek: een incident of de nieuwe werkelijkheid?

Citrix-lek

We zijn de afgelopen maanden weer opgeschrikt door meerdere grote ICT-incidenten. In december 2019 is de Universiteit van Maastricht geraakt door een ransomware-aanval met grote gevolgen voor medewerkers en studenten (lees ook ons eerdere artikel over ransomware). De afgelopen weken kwam daar de berichtgeving overheen van een lek in Citrix waarmee op een relatief eenvoudige wijze onbevoegden toegang konden verkrijgen tot complete netwerken van bedrijven en instellingen. Tussendoor zijn er nog meer grote en kleinere kwetsbaarheden bekend geworden, maar die zijn overschaduwd door de (terechte) ophef over het Citrix-lek.

De nieuwe werkelijkheid

Zijn dit nu incidenten of is het de ‘nieuwe werkelijkheid’ waarmee we rekening moeten houden? Natuurlijk zijn individuele ransomware-aanvallen en een specifiek lek dat op enig moment wordt ontdekt op zich incidenten. Onderliggend is wat mij betreft wel sprake van een doorlopend proces waarbij we continu rekening moeten houden met acties van kwaadwillenden en fouten in softwareontwikkeling. Beiden zijn niet of zeer moeilijk te voorkomen, het is dan ook zaak om de gevolgen ervan te beperken.

Impact ransomware-aanval beperken

Bijvoorbeeld de impact van een ransomware-aanval, dat op zich een ernstig beveiligingsincident is, is voor een belangrijk deel te beperken door het beschikbaar hebben van een goede back-up. Deze back-up moet dan alle (relevante) systemen bevatten, de back-up mag niet geraakt kunnen worden tijdens de ransomware-aanval waardoor ook de back-up versleuteld wordt, en de back-up moet binnen een korte termijn volledig te restoren zijn, zodat gebruikers slechts een beperkte tijd geen ICT-omgeving tot hun beschikking hebben. En natuurlijk moeten ook voldoende maatregelen genomen worden om aanvallen te voorkomen, zoals het tijdig updaten van systemen, het installeren van toereikende virusscanners, het segmenteren van netwerken etc.

Voorkomen misbruik kwetsbaarheden in soft- en hardware

Fouten in de ontwikkeling van hard- en softwaretoepassingen zijn eveneens een ‘fact of life’. Voortschrijdend inzicht zal ertoe blijven leiden dat kwetsbaarheden ontdekt zullen worden. Ook hier zijn voldoende mogelijkheden aanwezig om te voorkomen dat een kwetsbaarheid misbruikt kan worden zoals het tijdig updaten wanneer een securitypatch wordt uitgebracht. Waar ik in de praktijk regelmatig tegenaan loop is dat vaak geen goed inzicht bestaat over welke hard- en software exact binnen de organisatie gebruikt wordt. Daarbij is het van belang niet alleen te weten welke versies gebruikt worden, maar ook welke afhankelijkheden tussen deze systemen en applicaties bestaan en welke bekende kwetsbaarheden aanwezig zijn. Met dat inzicht is het mogelijk de impact te bepalen voor de eigen organisatie en veel gerichter en sneller te reageren op berichtgeving rondom nieuwe (grote) kwetsbaarheden in systemen en applicaties.

En als het dan toch fout gaat?

Zet bij een (vermeende) ransomware aanval pc’s en laptops niet uit, maar blokkeer alle netwerkverkeer, onder meer door het uitzetten van routers en switches. Daarna dien je te analyseren wat er aan de hand is om verdere besmetting te beperken. Ook bij kwetsbaarheden zoals het Citrix-lek is het zaak om naast goede back-ups, voldoende loggings beschikbaar te hebben, zodat ook hier achterhaald kan worden wat er werkelijk heeft plaatsgevonden. Lees hier meer over wat te doen bij ransomware.

Belang van inzicht, risicoanalyse en maatregelen

Kortom: inzicht in de eigen IT-omgeving, een gedegen risicoanalyse en het inrichten van passende maatregelen kunnen misschien niet dreigingen van buitenaf voorkomen, maar helpen u wel uw organisatie te wapenen tegen de gevolgen ervan. Voor meer informatie kunt u uiteraard contact opnemen met onze IT-auditors.

Deze blog is geschreven door Lucas Vousten, partner IT audit en IT-services. U kunt contact opnemen met hem via e-mail of per telefoon op +31 (0)40 240 9516.